AtomBombing το Zero-Day exploit που δεν μπορεί να κλείσει η Microsoft

AtomBombing Zero-Day exploit: Ερευνητές ασφαλείας της Ensilo ανακάλυψαν ένα νέο zero-day exploit στα που οι επιτιθέμενοι μπορούν να χρησιμοποιήσουν για inject και εκτέλεση κακόβουλου κώδικα.

Οι έρευνες ονόμασαν το exploit AtomBombing από τη λειτουργία των Windows που εκμεταλλεύεται και ονομάζεται Atom Tables.

Αυτό που είναι ιδιαίτερα ενδιαφέρον σε αυτό το zero-day exploit είναι ότι δεν χρησιμοποιεί τρωτά σημεία στην των Windows, αλλά σε μητρικές λειτουργίες των Windows.AtomBombing Zero-Day exploit

Αυτό σημαίνει, σύμφωνα με τους ερευνητές, ότι η Microsoft δεν θα είναι σε θέση να επιδιορθώσει το πρόβλημα.

“Δυστυχώς, το θέμα αυτό δεν μπορεί να επιδιορθωθεί, δεδομένου ότι δεν στηρίζεται σε κάποιο χαλασμένο ή ελαττωματικό κώδικα, αλλά στο πως έχουν σχεδιαστεί να λειτουργούν οι μηχανισμοί του συστήματος.

Είναι ιδιαίτερα ανησυχητικό το γεγονός ότι το ζήτημα επηρεάζει όλες τις εκδόσεις των Windows, και ότι τα προτα ασφαλείας που λειτουργούν με το – firewall ή antivirus για παράδειγμα – δεν θα μπορούν να σταματήσουν την εκτέλεση του exploit.

Πως λειτουργεί η τεχνική:

Κάθε κακόβουλος κώδικας, φυσικά θα πρέπει πρώτα να εκτελεσθεί για να προσβάλει ένα σύστημα.
Αυτός ο κώδικας μπλοκάρεται συνήθως από το λογισμικό προστασίας για ιούς ή κάποιες πολιτικές ασφάλειας του λειτουργικού.
Στην περίπτωση του AtomBombing, το κακόβουλο γράφει τον κακόβουλο κώδικα σε έναν Atom table (το οποίο είναι μια νόμιμη λειτουργία των Windows και δεν μπορεί να την σταματήσει κάποια πολιτική ασφαλείας ή κάποιο antivirus).
Στη συνέχεια, χρησιμοποιεί νόμιμες διαδικασίες μέσω του APC ( Procedure Calls), ένα πρόγραμμα περιήγησης στο web για παράδειγμα, για να ανακτήσει κωδικούς από τον πίνακα χωρίς να το εντοπίσει κάποιο λογισμικό ασφαλείας.

“Αυτό που διαπιστώσαμε είναι ότι ένας κακόβουλος χρήστης μπορεί να γράψει κακόβουλου κώδικα σε ένα Atom table και να αναγκάσει ένα νόμιμο πρόγραμμα να πάρει τον κακόβουλο κώδικα από αυτό το table. Βρήκαμε επίσης ότι το νόμιμο πρόγραμμα, που περιέχει τον κακόβουλο κώδικα, μπορεί να διαχειριστεί για να εκτελέσει το κώδικα.”

Οι ερευνητές έχουν κυκλοφορήσει ένα PoC που επεξηγεί τον τρόπο λειτουργίας του AtomBombing. Αν σας ενδιαφέρουν οι λεπτομέρειες, μπορείτε να το ελέγξετε, καθώς μπορεί να απαντήσει σε όλες σας τις ερωτήσεις.

Η ομάδας ασφαλείας της Ensilo, αναφέρει ότι η εκτέλεση κακόβουλου κώδικα σε υπολογιστή με Windows ήταν ένας από τους πάρα πολλούς τρόπους που μπορούν οι επιτιθέμενοι να χρησιμοποιήσουν το AtomBombing.

Οι επιτιθέμενοι θα μπορούσαν να χρησιμοποιήσουν την τεχνική για να πάρουν screenshots, να εξάγουν ευαίσθητες πληροφορίες, ακόμα και κρυπτογραφημένους κωδικούς πρόσβασης.

Συμφωνία με την έρευνα, το Google κρυπτογραφεί αποθηκευμένους κωδικούς πρόσβασης χρησιμοποιώντας το API του Windows Data Protection. Έτσι οποιαδήποτε επίθεση σε μια διαδικασία που εκτελείται στο πλαίσιο του ενεργού χρήστη θα μπορούσε να αποκτήσει πρόσβαση στα ευαίσθητα δεδομένα σε μορφή απλού κειμένου.

Η Ensilio πιστεύει ότι η Microsoft δεν μπορεί να επιδιορθώσει το AtomBombing exploit. Η Microsoft από την άλλη δεν έχει εκδώσει κάποια ανακοίνωση.

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο σας

Προστεθείτε στους 2.100 εγγεγραμμένους.

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).